Swatchdog - Einfaldur skráavörður í rauntíma í Linux

Swatchdog („Simple WATCH DOG“) er einfalt Perl forskrift til að fylgjast með virkum annálaskrám á Unix-líkum kerfum eins og Linux. Það horfir á annálana þína byggða á reglulegum tjáningum sem þú getur skilgreint í stillingarskrá. Þú getur keyrt hana frá skipanalínunni eða í bakgrunni, aðskilinn frá hvaða flugstöð sem er með því að nota púkaham valkostinn.

Athugaðu að forritið hét upphaflega swatch („Einfaldi áhorfandinn“) en beiðni frá gamla svissneska úrafyrirtækinu um nafnbreytingu varð til þess að verktaki breytti nafni sínu í swatchdog.

Mikilvægt er að swatchdog hefur vaxið úr handriti til að horfa á annála sem eru framleidd af Syslog aðstöðu Unix og það getur fylgst með nánast hvers kyns annálum.

Hvernig á að setja upp Swatch í Linux

Hægt er að setja upp pakkaprófið frá opinberum geymslum almennra Linux dreifinga sem „swatch“ pakka í gegnum pakkastjóra eins og sýnt er.

$ sudo apt install swatch	[On Ubuntu/Debian]
$ sudo yum install epel-release && sudo yum install swatch	[On RHEL/CentOS]
$ sudo dnf install swatch	[On Fedora 22+]

Til að setja upp nýjustu útgáfuna af swatchdog þarftu að setja hana saman frá uppruna með því að nota eftirfarandi skipanir í hvaða Linux dreifingu sem er.

$ git clone https://github.com/ToddAtkins/swatchdog.git
$ cd swatchdog/
$ perl Makefile.PL
$ make
$ sudo make install
$ sudo make realclean

Þegar þú hefur sett upp sýnishornið þarftu að búa til stillingarskrá þess (sjálfgefin staðsetning er /home/$USER/.swatchdogrc eða .swatchrc), til að ákvarða hvers konar tjáningarmynstur á að leita að og hvers konar aðgerð(ir) ættu að vera tekin þegar mynstur er passað.

$ touch /home/tecmint/.swatchdogrc
OR
$ touch /home/tecmint/.swatchrc

Bættu við venjulegri tjáningu þinni í þessa skrá og hver lína ætti að innihalda lykilorð og gildi (stundum valfrjálst), aðskilin með bili eða jöfnu (=) tákni. Þú þarft að tilgreina mynstur og aðgerð(ir) sem á að grípa til þegar mynstur er samsvörun.

Við munum nota einfalda stillingarskrá, þú getur fundið fleiri valkosti á swatchdog mannasíðunni, til dæmis.

watchfor  /sudo/
	echo red
	[email , subject="Sudo Command"

Hér er regluleg tjáning okkar bókstaflegur strengur - sudo, þýðir hvenær sem strengurinn sudo birtist í annálaskránni, yrði prentaður á flugstöðina með rauðum texta og póstur tilgreinir aðgerðina sem á að grípa til, sem er að enduróma samsvarandi mynstur á flugstöðinni og sendu tölvupóst á tilgreint heimilisfang, móttækilega.

Eftir að þú hefur stillt hana les swatchdog /var/log/syslog log skrána sjálfgefið, ef þessi skrá er ekki til staðar les hún /var/log/messages.

$ swatch     [On RHEL/CentOS & Fedora]
$ swatchdog  [On Ubuntu/Debian]

Þú getur tilgreint aðra stillingarskrá með því að nota -c fána eins og sýnt er í eftirfarandi dæmi.

Búðu fyrst til sýnisstillingarskrá og skrá.

$ mkdir swatch
$ touch swatch/secure.conf

Næst skaltu bæta eftirfarandi uppsetningu í skrána til að fylgjast með misheppnuðum innskráningartilraunum, misheppnuðum SSH innskráningartilraunum, árangursríkum SSH innskráningum frá /var/log/secure log skránni.

watchfor /FAILED/
echo red
[email , subject="Failed Login Attempt"

watchfor /ROOT LOGIN/
echo red
[email , subject="Successful Root Login"

watchfor /ssh.*: Failed password/
echo red
[email , subject="Failed SSH Login Attempt"

watchfor /ssh.*: session opened for user root/ 
echo red
[email , subject="Successful SSH Root Login"

Keyrðu nú Swatch með því að tilgreina stillingarskrána með því að nota -c og annálaskrána með því að nota -t fána eins og sýnt er.

$ swatchdog -c ~/swatch/secure.conf -t /var/log/secure

Til að keyra það í bakgrunni, notaðu --daemon fánann; í þessum ham er það aðskilið frá hvaða flugstöð sem er.

$ swatchdog ~/swatch/secure.conf -t /var/log/secure --daemon

Nú til að prófa sýnisstillinguna, reyndu að skrá þig inn á netþjóninn frá annarri flugstöðinni, þú sérð eftirfarandi úttak prentað á flugstöðina þar sem Swatchdog er í gangi.

*** swatch version 3.2.3 (pid:16531) started at Thu Jul 12 12:45:10 BST 2018

Jul 12 12:51:19 tecmint sshd[16739]: Failed password for root from 192.168.0.103 port 33324 ssh2
Jul 12 12:51:19 tecmint sshd[16739]: Failed password for root from 192.168.0.103 port 33324 ssh2
Jul 12 12:52:07 tecmint sshd[16739]: pam_unix(sshd:session): session opened for user root by (uid=0)
Jul 12 12:52:07 tecmint sshd[16739]: pam_unix(sshd:session): session opened for user root by (uid=0)

Þú getur líka keyrt mörg prófunarferli til að fylgjast með ýmsum annálaskrám.

$ swatchdog -c ~/site1_watch_config -t /var/log/nginx/site1/access_log --daemon  
$ swatchdog -c ~/messages_watch_config -t /var/log/messages --daemon
$ swatchdog -c ~/auth_watch_config -t /var/log/auth.log --daemon

Fyrir frekari upplýsingar, skoðaðu swatchdog man síðuna.

$ man swatchdog

Swatchdog SourceForge Repository: https://sourceforge.net/projects/swatch/

Eftirfarandi eru nokkrar viðbótarleiðbeiningar um eftirlit með annálum sem þér mun finnast gagnlegar:

  1. Fjórar leiðir til að horfa á eða fylgjast með annálaskrám í rauntíma
  2. Hvernig á að búa til miðlægan annálþjón með Rsyslog
  3. Skoðastþjónn skráir sig inn í rauntíma með \Log.io tólinu
  4. lnav – Horfðu á og greindu Apache logs frá Linux flugstöð
  5. ngxtop – Fylgstu með Nginx annálaskrám í rauntíma í Linux

Swatchdog er einfalt virkt skráaeftirlitstæki fyrir Unix-lík kerfi eins og Linux. Prófaðu það og deildu hugsunum þínum eða spurðu spurninga í athugasemdahlutanum.